Impostare e configurare l'integrazione del report di costi e utilizzo di AWS

Nota

Il connettore per AWS nel servizio Gestione dei costi viene ritirato il 31 marzo 2025. Gli utenti devono prendere in considerazione soluzioni alternative per la creazione di report sulla gestione dei costi di AWS. Il 31 marzo 2024 Azure disabiliterà la possibilità di aggiungere nuovi connettori per AWS per tutti i clienti. Per altre informazioni, vedere Ritirare il connettore Amazon Web Services (AWS).

Grazie all'integrazione del report di costi e utilizzo di Amazon Web Services (AWS) si monitora e controlla la spesa AWS in Gestione dei costi. L'integrazione consente di monitorare e controllare la spesa per Azure e AWS in un'unica posizione nel portale di Azure. Questo articolo illustra come impostare l'integrazione e configurarla per poter usare le funzionalità di Gestione dei costi per analizzare i costi e rivedere i budget.

Gestione costi elabora il report di costi e utilizzo di AWS archiviato in un bucket S3 usando le credenziali di accesso di AWS per ottenere le definizioni del report e scaricare i file CSV GZIP del report.

Creare un report di costi e utilizzo in AWS

L'uso di un report di costi e utilizzo è la modalità consigliata da AWS per raccogliere ed elaborare i costi di AWS. Il connettore tra cloud di Gestione dei costi supporta i report di costi e utilizzo configurati a livello di account di gestione (consolidato). Per altre informazioni, vedere la documentazione del Report di costi e utilizzo di AWS.

Usare la pagina Cost & Usage Reports (Report di costi e utilizzo) della console Billing and Cost Management in AWS per creare un report di costi e utilizzo seguendo questa procedura:

1. Accedere alla Console di gestione AWS e aprire la console Billing and Cost Management.
2. Nel riquadro di spostamento selezionare Cost & Usage Reports (Report di costi e utilizzo).
3. Selezionare Create report (Crea report).
4. In Report name (Nome report) immettere un nome per il report.
5. In Additional report details (Ulteriori dettagli del report) selezionare Include resource IDs (Includi ID risorse).
6. In Data refresh settings (Impostazioni aggiornamento dati) selezionare se si vuole aggiornare il report di costi e utilizzo di AWS quando quest'ultimo applica all'account rimborsi, crediti o costi di supporto dopo la finalizzazione della fattura. Quando un report viene aggiornato, un nuovo report viene caricato in Amazon S3. È consigliabile lasciare selezionata l'impostazione.
7. Selezionare Avanti.
8. Per S3 bucket (Bucket S3), scegliere Configure (Configura).
9. Nella finestra di dialogo Configure S3 Bucket (Configura bucket S3) immettere un nome per il bucket e l'area in cui si vuole creare un nuovo bucket, quindi scegliere Next (Avanti).
10. Selezionare I have confirmed that this policy is correct (Ho confermato che il criterio è corretto) e selezionare Save (Salva).
11. (Facoltativo) In Report path prefix (Prefisso percorso report) immettere il prefisso del percorso del report che si vuole anteporre al nome del report.
    Se si ignora il prefisso, quello predefinito è il nome specificato per il report. L'intervallo di date ha il formato /report-name/date-range/.
12. In Time unit (Unità di tempo) scegliere Hourly (Ogni ora).
13. In Report versioning (Controllo delle versioni del report) scegliere se si vuole che ogni versione del report sovrascriva quella precedente o se si vogliono creare nuovi report aggiuntivi.
14. In Enable data integration for (Abilita integrazione dei dati per) non è necessaria alcuna selezione.
15. In Compression (Compressione) selezionare GZIP.
16. Selezionare Avanti.
17. Dopo aver esaminato le impostazioni per il report, selezionare Review and Complete (Verifica e completa).
    Prendere nota del nome del report. Viene usato nei passaggi successivi.

Possono essere necessarie fino a 24 ore prima che AWS inizi a recapitare i report nel bucket Amazon S3. Dopo l'avvio del recapito, AWS aggiorna i file del report di costi e utilizzo di AWS almeno una volta al giorno. È possibile continuare a configurare l'ambiente AWS senza attendere l'avvio del recapito.

Nota

I report di costi e utilizzo configurati a livello di account membro (collegato) non sono attualmente supportati.

Creare un criterio e un ruolo in AWS

Gestione dei costi accede più volte al giorno al bucket S3 in cui si trova il report di costi e utilizzo. Il servizio necessita dell'accesso alle credenziali per verificare la presenza di nuovi dati. Per consentire a Gestione costi di accedere, creare un ruolo e un criterio in AWS.

Per abilitare l'accesso in base al ruolo a un account AWS in Gestione costi, il ruolo viene creato nella console di AWS. È necessario ottenere il ruolo ARN e l'ID esterno dalla console di AWS. Verranno usati più avanti nella pagina Crea un connettore AWS in Gestione costi.

Usare la procedura guidata Crea criterio

1. Accedere alla console di AWS e selezionare Services (Servizi).
2. Nell'elenco dei servizi selezionare IAM.
3. Selezionare Criteri.
4. Selezionare Create policy (Crea criterio).
5. Selezionare Choose a service (Scegli un servizio).

Configurare l'autorizzazione per il report di costi e utilizzo

1. Immettere Report di costi e utilizzo.
2. Selezionare Access level (Livello di accesso)>Read (Lettura)>DescribeReportDefinitions. Questo passaggio consente a Gestione costi di leggere i report di costi e utilizzo definiti e determinare se corrispondono al prerequisito di definizione del report.
3. Selezionare Add more permissions (Aggiungi altre autorizzazioni).

Configurare l'autorizzazione per il bucket e gli oggetti S3

1. Selezionare Choose a service (Scegli un servizio).
2. Immettere S3.
3. Selezionare Access level (Livello di accesso)>List (Elenco)>ListBucket. Questa azione ottiene l'elenco di oggetti presenti nel bucket S3.
4. Selezionare Access level (Livello di accesso)>Read (Lettura)>GetObject. Questa azione consente il download dei file di fatturazione.
5. Selezionare Resources (Risorse)>Specific (Specifiche).
6. In bucket selezionare il collegamento Add ARNs (Aggiungi ARN) per aprire un'altra finestra.
7. In Bucket name (Nome risorsa bucket) immettere il bucket usato per archiviare i file del report di costi e utilizzo.
8. Selezionare Add ARNs (Aggiungi ARN).
9. In object (oggetto) selezionare Any (Qualsiasi).
10. Selezionare Add more permissions (Aggiungi altre autorizzazioni).

Configurare l'autorizzazione per Cost Explorer

1. Selezionare Choose a service (Scegli un servizio).
2. Immettere Servizio Cost Explorer.
3. Selezionare All Cost Explorer Service actions (ce:*) (Tutte le azioni del servizio Cost Explorer - ce:*). Questa azione convalida la correttezza della raccolta.
4. Selezionare Add more permissions (Aggiungi altre autorizzazioni).

Aggiungere l'autorizzazione per AWS Organizations

1. Immettere Organizations.
2. Selezionare Access level (Livello di accesso)>List (Elenco)>ListAccounts. Questa azione ottiene i nomi degli account.
3. Selezionare Add more permissions (Aggiungi altre autorizzazioni).

Configurare le autorizzazioni per i criteri

1. Accedere a IAM.
2. Selezionare Access level (Livello di accesso) > List (Elenco) >ListAttachedRolePolicies, ListPolicyVersions e ListRoles.
3. Selezionare Access level (Livello di accesso) > Read (Lettura) >GetPolicyVersion.
4. Selezionare Resources (Risorse)> policy (criterio) e quindi selezionare Any (Qualsiasi). Queste azioni consentono di verificare che al connettore sia stato concesso solo il set minimo necessario di autorizzazioni.
5. Selezionare Avanti.

Rivedi e crea

1. In Review Policy (Rivedi criterio) immettere un nome per il nuovo criterio. Verificare di avere immesso le informazioni corrette.
2. Aggiungi i tag. È possibile immettere i tag da usare o ignorare questo passaggio. Questo passaggio non è necessario per creare un connettore in Gestione dei costi.
3. Selezionare Create policy (Crea criterio) per completare questa procedura.

Il codice JSON del criterio deve essere simile all'esempio riportato di seguito. Sostituire bucketname con il nome del bucket S3, accountname con il numero di account e rolename con il nome del ruolo creato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Usare la creazione guidata di un nuovo ruolo

1. Accedere alla console di AWS e selezionare Services (Servizi).
2. Nell'elenco dei servizi selezionare IAM.
3. Selezionare Roles (Ruoli) e quindi Create Role (Crea ruolo).
4. Nella pagina Select trusted entity (Seleziona entità attendibile) selezionare AWS account (Account AWS) e quindi in An AWS account (Un account AWS) selezionare Another AWS account (Un altro account AWS).
5. In Account ID (ID account) immettere 432263259397.
6. In Options (Opzioni) selezionare Require external ID (Richiedi ID esterno). Procedura consigliata quando una terza parte assumerà questo ruolo.
7. In External ID (ID esterno) immettere l'ID esterno, che è un passcode condiviso tra il ruolo AWS e Gestione dei costi. Prendere nota dell'ID esterno, perché lo si usa nella pagina Nuovo connettore in Gestione dei costi. Microsoft consiglia di usare un criterio per l'uso di passcode complessi quando si immette l'ID esterno. L'ID esterno deve essere conforme alle restrizioni AWS:
   • Tipo: Stringa
   • Vincoli di lunghezza: lunghezza minima di 2 caratteri. Lunghezza massima di 1224 caratteri.
   • Deve soddisfare il modello di espressione regolare: [\w+=,.@: /-]*

   Nota

   Non modificare la selezione per Require MFA (Richiedi MFA). L'opzione deve rimanere deselezionata.

8. Selezionare Avanti.
9. Nella barra di ricerca cercare il nuovo criterio e selezionarlo.
10. Selezionare Avanti.
11. In Role details (Dettagli ruolo) immettere un nome per il ruolo. Verificare di avere immesso le informazioni corrette. Prendere nota del nome immesso perché lo si userà in seguito durante la configurazione del connettore di Gestione dei costi.
12. Facoltativamente, aggiungi tag. È possibile immettere qualsiasi tag o ignorare questo passaggio. Questo passaggio non è necessario per creare un connettore in Gestione dei costi.
13. Selezionare Create role (Crea ruolo).

Configurare un nuovo connettore per AWS in Azure

Usare le informazioni seguenti per creare un connettore AWS e iniziare a monitorare i costi di AWS.

Nota

Il connettore per AWS rimane attivo al termine del periodo di prova se si imposta la configurazione per il rinnovo automatico su Sì durante la configurazione iniziale. In caso contrario, il connettore viene disabilitato dopo la prova. Può rimanere disabilitato per tre mesi prima che venga eliminato definitivamente. Dopo l'eliminazione del connettore, non è possibile riattivare la stessa connessione. Per assistenza con un connettore disabilitato o per creare una nuova connessione dopo l'eliminazione, creare una richiesta di supporto nel portale di Azure.

Prerequisiti

• Assicurarsi di avere almeno un gruppo di gestione abilitato. È necessario un gruppo di gestione per collegare la sottoscrizione al servizio AWS. Per altre informazioni sulla creazione di un gruppo di gestione, vedere Creare un gruppo di gestione in Azure.
• Assicurarsi di essere un amministratore della sottoscrizione.
• Completare la configurazione necessaria per un nuovo connettore AWS, come descritto nella sezione Creare un report di costi e utilizzo in AWS.

Creare un nuovo connettore

1. Accedere al portale di Azure.
2. Passare a Gestione dei costi e fatturazione e selezionare un ambito di fatturazione, se necessario.
3. Selezionare Analisi dei costi e quindi selezionare Impostazioni.
4. Selezionare Connettori per AWS.
5. Selezionare Aggiungi un connettore.
6. Nella pagina Crea connettore immettere un nome per il connettore in Nome visualizzato.
   
7. Selezionare facoltativamente il gruppo di gestione predefinito. Archivia tutti gli account collegati individuati. È possibile configurarlo in seguito.
8. Nella sezione Fatturazione selezionare Rinnovo automatico su On se si vuole assicurare il funzionamento continuo. Se si seleziona l'opzione di addebito automatico, è necessario selezionare una sottoscrizione di fatturazione.
9. In Ruolo ARN immettere il valore usato durante la configurazione del ruolo in AWS.
10. In ID esterno immettere il valore usato durante la configurazione del ruolo in AWS.
11. In Nome del report immettere il nome creato in AWS.
12. Selezionare Avanti e quindi Crea.

La visualizzazione dei nuovi ambiti AWS, dell'account AWS consolidato, degli account AWS collegati e dei relativi dati sui costi può richiedere alcune ore.

Dopo aver creato il connettore, è consigliabile assegnargli il controllo di accesso. Agli utenti vengono assegnate le autorizzazioni per gli ambiti appena individuati: account AWS consolidato e account AWS collegati. L'utente che crea il connettore è il proprietario del connettore, dell'account consolidato e di tutti gli account collegati.

L'assegnazione delle autorizzazioni per il connettore agli utenti dopo l'individuazione non determina l'assegnazione delle autorizzazioni per gli ambiti AWS esistenti. Le autorizzazioni vengono infatti assegnate solo ai nuovi account collegati.

Altri passaggi

• Configurare i gruppi di gestione, se non è già stato fatto.
• Verificare che i nuovi ambiti siano stati aggiunti alla selezione ambiti. Selezionare Aggiorna per visualizzare i dati più recenti.
• Nella pagina Connettori cloud selezionare il connettore e quindi Vai all'account di fatturazione per assegnare l'account collegato ai gruppi di gestione.

Nota

I gruppi di gestione non sono attualmente supportati per i clienti con Contratto del cliente Microsoft. I clienti con Contratto del cliente Microsoft possono creare il connettore e visualizzare i rispettivi dati di AWS. I clienti con Contratto del cliente Microsoft, tuttavia, non possono visualizzare insieme i costi di Azure e di AWS in un gruppo di gestione.

Gestire i connettori AWS

Quando si seleziona un connettore nella pagina Connettori per AWS, è possibile:

• Selezionare Vai all'account di fatturazione per visualizzare le informazioni relative all'account AWS consolidato.
• Selezionare Controllo di accesso per gestire l'assegnazione di ruolo per il connettore.
• Selezionare Modifica per aggiornare il connettore. Non è possibile modificare il numero di account AWS perché è visualizzato nel ruolo ARN. Ma è possibile creare un nuovo connettore.
• Selezionare Verifica per eseguire di nuovo il test di verifica per assicurarsi che Gestione costi possa raccogliere i dati usando le impostazioni del connettore.

Configurare gruppi di gestione di Azure

Inserire le sottoscrizioni di Azure e gli account AWS collegati nello stesso gruppo di gestione per creare un'unica posizione in cui vedere le informazioni dei diversi provider di servizi cloud. Per configurare l'ambiente di Azure con i gruppi di gestione, vedere Configurazione iniziale dei gruppi di gestione.

Se si vuole separare i costi, è possibile creare un gruppo di gestione contenente solo account AWS collegati.

Configurare un account AWS consolidato

L'account AWS consolidato combina fatturazione e pagamenti per più account AWS. Funge anche da account AWS collegato. È possibile visualizzare i dettagli per l'account consolidato di AWS usando il collegamento nella pagina del connettore AWS.

Nella pagina è possibile effettuare le operazioni seguenti:

• Selezionare Aggiornamento per eseguire l'aggiornamento in blocco dell'associazione degli account AWS collegati a un gruppo di gestione.
• Selezionare Controllo di accesso per impostare l'assegnazione di ruolo per l'ambito.

Autorizzazioni per un account AWS consolidato

Per impostazione predefinita, le autorizzazioni per un account AWS consolidato vengono impostate al momento della creazione dell'account, in base alle autorizzazioni del connettore AWS. Il creatore del connettore è il proprietario.

Per gestire il livello di accesso usare la pagina Livello di accesso dell'account AWS consolidato. Gli account AWS collegati, tuttavia, non ereditano le autorizzazioni concesse all'account AWS consolidato.

Configurare un account AWS collegato

L'account AWS collegato è quello in cui vengono create e gestite le risorse AWS. Un account collegato funge anche da limite di sicurezza.

Da questa pagina è possibile:

• Selezionare Aggiornamento per aggiornare l'associazione dell'account AWS collegato a un gruppo di gestione.
• Selezionare Controllo di accesso per impostare un'assegnazione di ruolo per l'ambito.

Autorizzazioni per un account AWS collegato

Per impostazione predefinita, le autorizzazioni per un account AWS collegato vengono impostate al momento della creazione, in base alle autorizzazioni del connettore AWS. Il creatore del connettore è il proprietario. Per gestire il livello di accesso usare la pagina Livello di accesso dell'account AWS collegato. Gli account AWS collegati non ereditano le autorizzazioni da un account AWS consolidato.

Gli account AWS collegati ereditano sempre le autorizzazioni dal gruppo di gestione a cui appartengono.

Passaggi successivi

• Ora che è stata impostata e configurata l'integrazione del report di costi e utilizzo di AWS, passare a Gestire i costi e l'utilizzo di AWS.
• Se non si ha familiarità con l'analisi dei costi, vedere la guida di avvio rapido Esplorare e analizzare i costi con l'analisi dei costi.
• Se non si ha familiarità con i budget in Azure, vedere Creare e gestire budget.